Apache ActiveMQ 曝出通过 Jolokia API 实现的高危远程代码执行漏洞（CVE-2026-34197，CVSS 8.8）。攻击者仅需具备基础凭据，即可通过构造特制请求诱导代理服务端加载远程恶意配置，进而实现任意命令执行。

漏洞详情
Apache ActiveMQ Broker 和 Apache ActiveMQ 中存在输入验证不当、代码生成控制不当（“代码注入”）漏洞。Apache ActiveMQ Classic 在 Web 控制台的 /api/jolokia/ 处暴露了 Jolokia JMX-HTTP 桥接器。默认的 Jolokia 访问策略允许对所有 ActiveMQ MBean (org.apache.activemq:*) 执行 exec 操作，包括 BrokerService.addNetworkConnector(String) 和 BrokerService.addConnector(String)。经过身份验证的攻击者可以使用精心构造的发现 URI 调用这些操作，该 URI 会触发 VM 传输的 brokerConfig 参数，从而使用 ResourceXmlApplicationContext 加载远程 Spring XML 应用程序上下文。由于 Spring 的 ResourceXmlApplicationContext 会在 BrokerService 验证配置之前实例化所有单例 bean，因此攻击者可以通过 bean 工厂方法（例如 Runtime.exec()）在 broker 的 JVM 上执行任意代码。

影响范围
Apache ActiveMQ Broker (activemq-broker) < 5.19.4
Apache ActiveMQ Broker (activemq-broker) 6.0.0 <= 版本 < 6.2.3
Apache ActiveMQ (activemq-all) < 5.19.4
Apache ActiveMQ (activemq-all) 6.0.0 <= 版本 < 6.2.3

排查方法
ActiveMQ 存在 CVE-2026-34197 高危 RCE 漏洞，该漏洞仅影响ActiveMQ Classic版本，Artemis 版本不受影响，核心危害是攻击者可通过恶意构造的请求利用 Jolokia 接口实现远程代码执行。

1.版本范围排查：确认是否在风险区间
这是排查的基础前提，先快速锁定受影响设备。执行activemq --version命令查看版本号，对照官方范围判定：仅 ActiveMQ Classic 版本需重点排查，Artemis 版本无需关注；其中 Classic 版本的 5.x 系列需小于 5.19.4，6.x 系列需满足 6.0.0≤版本＜6.2.3。

2.端口接口排查：判断是否可被外部攻击
重点检查设备的暴露面，确认攻击入口是否可达。首先检查服务器 8161 端口是否对外开放，该端口是 ActiveMQ Web 控制台与 Jolokia API 的默认端口；其次访问/api/jolokia/接口，若接口可正常访问，说明设备存在被攻击的直接通道。

3.日志特征排查：定位已发生的攻击行为
若端口与接口排查无异常，可通过日志追溯是否存在过往攻击尝试。登录 ActiveMQ 日志文件，搜索包含vm://且携带brokerConfig=xbean:http的 URI 特征，该特征是漏洞利用的标识。

漏洞复现


通过向目标开放的 8161 端口发送 POST 请求调用 addNetworkConnector 操作，即可触发目标主动拉取远端恶意的 Spring XML 配置文件，最终执行任意命令。

修复建议
1.使用 5.x 版本分支，升级至 5.19.4 或更高版本。
2.使用 6.x 版本分支，升级至 6.2.3 或更高版本。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。
昆仑漏洞扫描平台专业漏洞检测工具，已更新漏洞检测规则，已支持该漏洞的在线检测。
实战化攻防技能演训平台：模拟真实攻防仿真场景，提升蓝军、红军实战应对能力训练平台。
云瞳云WAF：为中小企业提供一键化接入和专业级防护，有效应对 Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等 Web业务安全防护问题。

参考链接
https://mp.weixin.qq.com/s/R8B5TXfWweEjJkonaOkqYA
https://nvd.nist.gov/vuln/detail/CVE-2026-34197
https://horizon3.ai/attack-research/disclosures/cve-2026-34197-activemq-rce-jolokia/